Загрузка произвольных вложений в MailSite Express

Дата публикации:
20.10.2005
Дата изменения:
24.03.2009
Всего просмотров:
819
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-3428
CVE-2005-3429
CVE-2005-3430
CVE-2005-3431
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
MailSite 6.x
Уязвимые версии: MailSite Express 6.1.20 и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные сценарии на целевой системе.

Уязвимость обнаружена при обработке разрешений файлов. Приложение создает легко угадываемое имя файла в кеш-директории внутри web каталога. Злоумышленник может загрузить исполняемый сценарий и выполнить его на целевой системе с привилегиями web сервера.

URL производителя: www.rockliffe.com/products/mailsite-email-server-software.asp

Решение: Установите последнюю версию с сайта производителя. В качестве временного решения, рекомендуется убрать привилегии на выполнение с кеш-директории, хотя это не решит проблему с HTML файлами.

Источник:

Журнал изменений:
24.03.2009
Изменена секция "Решение"

Ссылки: Mailsite has vulnerability in attachments

или введите имя

CAPTCHA